セキュリティ特集

SCS評価制度とは?

「サプライチェーン強化に向けたセキュリティ対策評価制度」(通称:SCS評価制度)とは?

SCS評価制度に関する制度構築方針とは、経済産業省と内閣官房が主導し、日本全体のサイバーレジリエンス向上を目的に策定を進めている新しい評価の枠組みです。

近年、特定の企業を直接狙うのではなく、セキュリティ対策が手薄なサプライヤー(取引先)を足掛かりに本丸を攻める「サプライチェーン攻撃」が深刻な社会課題となっています。これに対し、本方針は「どの程度の対策を行えば安全と言えるのか」という共通の評価基準を定め、企業のセキュリティ対策状況を「星(★)」の数で可視化することを目指しています。

  • サプライチェーンにおける適切なセキュリティ対策の実施を促し、サプライチェーン全体でのセキュリティ対策水準の向上を図る

(※) 本制度は、サプライチェーンにおけるセキュリティ対策の水準を定め、企業の対応状況を可視化するものであり、事業者のセキュリティ対策レベルを競わせることを目的としたもの(格付け制度等)ではない

  • サプライチェーンにおけるリスクを対象にし、その中での立ち位置に応じて必要な対策を提示することで、企業の対策決定を容易・適切なものにする
  • 特にサプライチェーンを構成する中小企業は、セキュリティ対策におけるリソースが限られていること/自社のリスクを踏まえてセキュリティ対策を行うことはハードルが高いことから、活用による効果が大きい

SCS評価レベル (★の考え方)

SCS評価制度は段階的なレベル構成となっており、企業は自社の役割や取引要件に応じて目標レベルを設定できます。

★1 ★2(既存制度)

  • IPAが運用する「SECURITY ACTION(セキュリティ対策自己宣言)」を位置付け
  • 自己宣言型で、基礎的な対策の実施を促進

★3(三つ星)

  • すべてのサプライチェーン企業が最低限実装すべき対策レベル
  • 自己評価を基本としつつ、セキュリティ専門家による確認を伴う
  • 基礎的な管理・防御・検知・対応・復旧の体制整備が求められます

★4(四つ星)

  • ★3よりも広範かつ高度な対策を求めるレベル
  • 第三者評価機関による評価が前提
  • 重要な取引やサプライチェーン上で影響度の高い企業が想定対象

★5(五つ星)

  • 最高水準の対策レベルとして検討中
  • 重要インフラ事業者等が到達点として目指すレベル

 

SCS 制度のサマリ

scs-fig01.jpg

SCS評価制度への対応準備に!

ホワイトペーパー

事業継続のためのサーバーセキュリティー対策ガイド

自社に合ったセキュリティ対策で揺るぎない経営基盤の構築

SCS評価制度の目的

受注企業への効果

  • 自社がどの程度のセキュリティ対策を実施するべきか明確になる。

  • 発注企業等に対して、セキュリティ対策に係る説明が容易になる。
  • 対策に要する費用や効果の可視化
  • セキュリティサービスの標準化による選択肢拡大やコスト低減(中長期)

発注企業への効果

  • 取引先に求めるセキュリティ対策の内容や水準の決定や、実施状況の把握が容易・適切になる
  • 取引先におけるセキュリティ対策の適切な実装により、サプライチェーンに起因する自社セキュリティリスクの低減

社会全体での効果

  • サプライチェーン全体での底上げを通じた経済・社会全体のサイバーレジリエンス(※)の強化
  • サイバー攻撃への備えのある企業等への適切な評価
  • セキュリティ製品やサービスの市場拡大・競争力向上(中長期)

​​​​※サイバーレジリエンス(Cyber resiliency)
サイバー資源を使用する又はサイバー資源によって実現するシステムに対する不利な状況、ストレス、攻撃、侵害を予測し、それらに耐え、回復し、適応する能力。
https://csrc.nist.gov/glossary/term/cyber_resiliency

SCS評価制度への対応準備に!

<strong>SCS評価制度への対応準備に!</strong>

ホワイトペーパー

事業継続のためのサーバーセキュリティー対策ガイド

自社に合ったセキュリティ対策で揺るぎない経営基盤の構築

SCS評価制度 運用開始までのスケジュール

最新の2026年3月版の方針では、評価基準の具体化が進むとともに、運用開始スケジュールが「2026年度末(2027年3月頃)」へと調整されるなど、社会実装に向けた最終段階の検討状況が示されています。

scs-fig02.jpg

まとめ

SCS評価制度は、企業単体ではなくサプライチェーン全体で安全性を高めるための共通基盤です。将来的な取引要件への影響も見据え、早期に制度の考え方を理解し、段階的な準備を進めることが、リスク低減と信頼性向上につながります。

評価のポイント

SCS評価制度では、特定の製品導入を義務付けていません。重要なのは要求事項を満たす状態にあるかどうかです。

主な評価観点(例):

  • IT資産・接続関係の把握
  • アクセス管理・認証の適切性
  • ログ取得・保管・確認体制
  • 脆弱性対応・パッチ管理
  • インシデント対応および復旧体制
  • 取引先管理の仕組み

制度対応の進め方(はじめの一歩)

  1. 自社のサプライチェーン上の役割を整理する
  2. 求められそうな評価レベル(★3/★4)を想定する
  3. 現状のIT基盤と運用を棚卸しする
  4. 不足している管理・運用を優先度順に整備する

制度対応を目的化するのではなく、日常的なセキュリティ基盤の整備として進めることが重要です。

SCS評価制度への対応準備に!

ホワイトペーパー

事業継続のためのサーバーセキュリティー対策ガイド

自社に合ったセキュリティ対策で揺るぎない経営基盤の構築